依赖传递中某依赖版本低造成安全漏洞问题

问题描述

由于在项目中间接引用poi依赖,此依赖版本过低导致漏洞。


原因分析:

Apache POI 版本<= 4.1.0 中,当使用 XSSFExportToXml 工具转换用户提供的 Excel 文档时,可以在 xmlMaps.xml 加入恶意代码制作成 excel 文档,

漏洞是在使用 XSSFExportToXml 类 xlsx 转 xml 时触发的

对比版本 4.1.0 和 4.1.1 XSSFExportToXml 类的源码,发现在 isValid 方法里多设置了一个 feature,

问题就出在org.apache.poi.xssf.extractor.XSSFExportToXml#isValid 方法里,

如果org.apache.poi.xssf.extractor.XSSFExportToXml#exportToXML(java.io.OutputStream, java.lang.String, boolean) 方法的第三个参数为 true 则会进入 isValid 触发XML External Entity处理在服务器读取文件资源或发送外部请求


解决方案:

  1. 如果不使用poi,由于间接依赖引入了poi,则在pom文件中使用exclude排除poi
  1. 如果使用poi,则在pom文件中使用指定poi版本超过4.1.0.
相关推荐
兰亭序咖啡17 分钟前
学透Spring Boot — 010. 单元测试和Spring Test
spring boot·spring·单元测试
侧耳倾听11118 分钟前
单元测试之mockito
java·单元测试
苹果酱056722 分钟前
SpringCloud第二篇:注册中心Eureka
java·vue.js·spring boot·mysql·课程设计
圈圈编码23 分钟前
WebSocket
java·网络·spring boot·websocket·网络协议·spring
szuaudi25 分钟前
SpringMVC实现text/event-stream(SSE)
java·spring
nlog3n1 小时前
Java 桥接模式 详解
java·开发语言·桥接模式
理想奋斗中1 小时前
【并发编程 | 第五篇】探索ThreadLocal的原理
java·多线程·threadlocal·threadlocalmap
李小白661 小时前
JavaEE初阶复习(JVM篇)
java·jvm·java-ee
Easonmax1 小时前
【JavaEE】网络原理详解
java·java-ee
movie__movie1 小时前
Spring AI MCP 客户端实战:轻松连接高德地图等工具
数据库·人工智能·spring